27.04.2021

Abdingbarkeit von TOMs – Vermerk des HamBfDI vom 18. Februar 2021

Hintergrund

Betroffene Personen können in die Herabsetzung von technisch organisatorischen Maßnahmen, die die Verarbeitung ihrer personenbezogenen Daten betreffen, wirksam einwilligen, wenn diese freiwillig erfolgt (siehe Vermerk des HamBfDI vom 18. Februar 2021). Die Freiwilligkeit der Einwilligung ist aber nur dann gegeben, wenn der Verantwortliche die nach Art. 32 DSGVO geforderten Schutzmaßnahmen grundsätzlich vorhält und der betroffenen Person auf Verlangen zur Verfügung stellt, ohne dass dieser dadurch Nachteile entstehen.

Die Frage, ob betroffene Personen mittels einer Einwilligung wirksam auf an sich datenschutzrechtlich geforderte Anforderungen zur Sicherheit der Verarbeitung verzichten können, ist bereits unter Geltung des § 9 BDSG-alt streitig gewesen und wurde häufig am Beispiel der Möglichkeit einer Einwilligung in die nur transportverschlüsselte (bei Übermittlung besonders sensibler oder einem Berufsgeheimnis unterliegender Daten) oder gar unverschlüsselte E-Mail-Kommunikation diskutiert. Kernpunkt ist die Frage, ob die datenschutzrechtlichen Vorgaben zur Disposition der betroffenen Person stehen.

Der HamBfDI bejaht dies im Ergebnis, auch wenn er die Erwägungen derer, die sich gegen eine Disponibilität eines Mindeststandards aussprechen, als berechtigt erachtet.

Abdingbarkeit des Systemdatenschutzes

Als Argument gegen die Möglichkeit, in die Reduzierung von Sicherheitsstandards einzuwilligen, wird vorgebracht, dass es für die Etablierung eines europäischen Mindeststandards, den die DSGVO schaffen möchte, erforderlich sei, die Vorgaben des Art. 32 DSGVO nicht durch Vereinbarungen mit den betroffenen Personen zu unterlaufen. Es wird befürchtet, dass der Systemdatenschutz aufgrund wirtschaftlicher Erwägungen auf ein minimales Niveau reduziert wird, wenn den Nutzern von Angeboten mit lock-in Effekten (z. B. Soziale Netzwerke) eine entsprechende Einwilligung abgerungen wird – diese widerspräche auch den Geboten von Privacy by Default und Privacy by Design.    

Gleichwohl meint der HambBfDI, dass es nicht angehe, der betroffenen Person gegen ihren Willen und ggf. zu ihrem Nachteil ein Schutzniveau aufzuzwingen, das sie ausdrücklich ablehnt. Zugleich müsse die Antwort auf die Frage der Abdingbarkeit des Systemdatenschutzes differenziert erfolgen.

Unterscheidung zwischen betroffener Person und Verantwortlichem notwendig

Für den Verantwortlichen oder Auftragsverarbeiter sei Art. 32 DSGVO zwingendes Recht und enthalte verbindliche Regeln, da Art. 32 DSGVO eine Pflicht zur Implementierung angemessener Maßnahmen enthält und dem Verantwortlichen oder Auftragsverarbeiter keine Entscheidungsbefugnis darüber einräumt, ob er diese umsetze.

Etwas anderes gilt im Verhältnis zur betroffenen Person. Primäres Schutzgut der DSGVO sei das Grundrecht auf Datenschutz (Art. 8 GrCH). Diese stehe zur Disposition ihres Trägers, also der betroffenen Person. Auf anschauliche Weise zeigt der HamBfDI in einem Erst-recht-Schluss auf, dass das Recht der betroffene Person, in die Veröffentlichung von unvorteilhaften oder sexualisierten Aufnahmen im Internet einzuwilligen, zwangsläufig das Recht beinhalte, einen unsicheren Übermittlungsweg für die Übersendung derartiger Aufnahmen zu wählen. Ob eine solche Einwilligung im Sinne der Person oder im Sinne des Datenschutzes sei, spiele keine Rolle, solange die Einwilligung freiwillige erfolgte. Damit seien die Schutzmaßnahmen bei der Verarbeitung der eigenen personenbezogenen Daten durch die betroffene Person abdingbar.

Art. 32 DSGVO verfolge in erster Linie den Schutz der betroffenen Person, in zweiter Linie das Regelungsziel, ein einheitliches Niveau der Datensicherheit bei der Verarbeitung personenbezogener Daten zu schaffen. Dieses sekundäre Ziel werde auch dann erreicht, wenn ein Verzicht auf bestimmte Maßnahmen durch die betroffene Person zugelassen wird, indem die Regelung gegenüber dem Verantwortlichen verbindliche Anforderungen zur Schaffung eines angemessenen Standards der Datensicherheit im Allgemeinen stellt.

Der HamBfDI erläutert zudem, dass sich nichts anders aus Art. 6 und 7 DSGVO ergebe. Denn diese Normen beschränkten die grundsätzliche unbeschränkte Dispositionsfreiheit der betroffenen Person nur in Bezug auf das „Ob“ (indem dem Verantwortlichen die Verarbeitung der personenbezogenen Daten der betroffenen Person erlaubt werde) und nicht in Bezug auf das „Wie“. Da eine Regelung über eine Beschränkung der Dispositionsfreiheit über das „Wie“ fehlte, bleibt sie in Bezug auf das „Wie“ unbeschränkt.

Pflicht zur Schaffung Art. 32 DSGVO-konformer Datensicherheitsstandards

Aus Art. 25 DSGVO folgt die Pflicht des Verantwortlichen, unabhängig von der konkreten Verarbeitung aufgrund einer typisierenden Betrachtung der von ihm durchgeführten Verarbeitungen angemessene Schutzmaßnahmen zu ergreifen.

Zentrale Aussage des HamBfDI ist, dass die betroffene Person eine freie Entscheidung über einen Verzicht der Einhaltung der Vorgaben des Art. 32 DSGVO nur dann treffen kann, wenn die nach Art. 32 DSGVO erforderlichen TOMs durch den Verantwortlichen zumindest vorgehalten werden:

„Daher kann sich ein Verantwortlicher, der eine Verarbeitung durchführt, die die Übermittlung sensibler Daten erfordert, nicht darauf zurückziehen, dass er schon grundsätzlich keine sichere Übermittlung gewährleisten kann und dem Betroffenen eine pauschale Einwilligung dazu abringen. Vielmehr hat er eine sichere Übermittlungsform bereits zum Zeitpunkt der Auswahl der Mittel für die Verarbeitung vorzuhalten. Dies schließt nicht aus, dass der Betroffene in Bezug auf eine konkrete, ihn betreffende Verarbeitung darin einwilligen kann, dass die konkrete Maßnahme ohne das nach Art. 32 DSGVO erforderliche Schutzniveau durchgeführt wird, vorausgesetzt, dass der Verantwortliche dieses grundsätzlich gewährleisten kann.“

Anforderungen an die Einwilligung

Die Einwilligung müsse den Anforderungen von Art. 7 analog DSGVO genügen – zu einer analogen Rechtsanwendung gelangt der HamBfDI, da für die Einwilligung in das „Wie“ der Datenverarbeitung die gleichen Maßstäbe wie für die Einwilligung in das „Ob“ der Einwilligung gelten müssten (für diese gilt Art. 7 DSGVO unmittelbar).

Bestehen einer sicheren Alternative, die nicht mit unzumutbaren Nachteilen verbunden sein darf

Insbesondere muss die Einwilligung freiwillig erteilt werden – das setzt voraus, dass für die betroffene Person eine angemessene sichere alternative Datenverarbeitung existiert, die nicht mit unzumutbaren Nachteilen verbunden ist. Unzumutbar könne z. B. eine unangemesse Verlängerung der Bearbeitungsdauer oder das Entstehen von Bearbeitungskosten sein.

Eine Unzumutbarkeit kann sich aber auch daraus ergeben, dass Betroffene dauerhaft gezwungen sind, den aufwändigeren, zeitintensiveren und aufgrund von Druck- und Versandkosten kostenintensiveren Weg der schriftlichen Kommunikation zu wählen, weil keine sichere digitale Abwicklung ermöglicht wird. Der Verantwortliche hat deshalb von vornherein Sorge dafür zu tragen, dass auf konkret definierte und absehbare Zeit auch Möglichkeiten der sicheren digitalen Abwicklung eröffnet werden, die frei von diesen Nachteilen sind.

Unser Kommentar

Die Ablehnung der paternalistisch wirkenden Auffassung, die betroffene Person könne nicht wirksam in der Herabsetzung datenschutzrechtlicher Mindeststandards einwilligen, überzeugt. Das Datenschutzrecht schafft kein Recht, die betroffene Person vor sich selbst zu schützen.

Richtig ist aber, dass die Wirksamkeit einer Einwilligung der betroffenen Person eine echte Wahlmöglichkeit lassen (z. B. die sichere Übermittlung auf dem Postweg anstelle der Übermittlung mittels einer unverschlüsselten E-Mail) und sie nicht faktisch einwilligen muss, um den ihr angebotenen Service des Verantwortlichen zu nutzen (keine „Friss oder stirb-Situation).

Verantwortliche sollten grundsätzlich geeignete technisch-organisatorische Maßnahmen treffen, um z.B. im Hinblick auf die Kommunikation per E-Mail gar nicht erst auf die Einwilligung ihrer Kunden in die unverschlüsselte Kommunikation angewiesen zu sein. Stattdessen sollten sichere Wege geschaffen werden, dem Kunden Unterlagen zur Verfügung zu stellen (etwa mittels der Einrichtung von zugangsgeschützten Webportalen).

Autor/in
Dr. Christian Rabe

Dr. Christian Rabe
Senior Associate
Hamburg
christian.rabe@luther-lawfirm.com
+49 40 18067 14946